Sicherheitsupdates für PostgreSQL
Korrekturen für die PostgreSQL-Versionen 7.4 bis 9 schließen eine Lücke, mit der Anwender den Code von Funktionen zur Laufzeit ändern konnten. Gleichzeitig kündigen die Entwickler PostgreSQL 7.4 und 8.0 ab.
- Christian Kirsch
Ein Fehler in allen PostgreSQL-Versionen seit 7.4 erlaubt Anwendern, zur Laufzeit Funktionen zu modifizieren, die in einer prozeduralen Sprache wie Perl oder Tcl geschrieben sind. Seit heute stehen korrigierte Binaries und Quellcode-Pakete auf der Website des Projekts bereit.
Ausnutzen lässt sich der Bug von Nutzern, die das Recht zum Einsatz prozeduraler Sprachen besitzen, sobald eine Funktion mit dem Attribut SECURITY DEFINER versehen ist. Er ermöglicht ihnen, erweiterte Zugangsrechte zu erlangen. Die Entwickler weisen jedoch darauf hin, dass die Installation der API für eine prozedurale Sprache alleine noch kein Sicherheitsrisiko bildet.
Die bereitgestellten Bugfixes sind die letzten Korrekturen für die PostgreSQL-Versionen 7.4 und 8.0, die Unterstützung für 8.1 wird ebenfalls in diesem Jahr eingestellt werden. Sie beheben die Lücke für Tcl und Perl, zu Python gibt es noch keine Informationen. Eine Korrektur für PHP soll demnächst folgen. In den neuen Paketen sind laut Release-Notes weitere Korrekturen und Verbesserungen enthalten. Die Entwickler empfehlen allen Anwendern auf eine aktuelle Version umzustellen.
Siehe dazu auch:
- PostgreSQL im heise Software-Verzeichnis
(ck)
